8月14日��,深圳龍崗警方宣布打掉一個新型盜刷銀行卡犯罪團伙��,抓獲10名嫌疑人�,查繳偽基站等電子設(shè)備6套��,帶破同類案件50余宗����,涉案金額逾百萬元。據(jù)專家分析��,嫌疑人通過“GSM劫持+短信嗅探”技術(shù)截獲受害人短信驗證碼����,從而完成盜刷等操作。截至目前����,這是全國該類案件中打掉涉案人數(shù)最多、金額最大的一起����。
“基于短信驗證碼實現(xiàn)身份驗證的安全風(fēng)險顯著增加。”全國信息安全標準化技術(shù)委員會在《網(wǎng)絡(luò)安全實踐指南——應(yīng)對截獲短信驗證碼實施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》中指出��。
網(wǎng)友遇怪事
夢中收短信 網(wǎng)銀被盜刷
7月30日凌晨5點�����,從夢中醒來的網(wǎng)友“獨釣寒江雪”發(fā)現(xiàn)了一件怪事:“手機一直在震���,一看�,接收了100多條驗證碼�,支付寶、京東����、銀行什么都有。嚇得一下子清醒�,去看支付寶,余額寶���、余額和關(guān)聯(lián)銀行卡的錢都被轉(zhuǎn)走了�。京東開了金條��、白條功能,借走1萬多元����。”
人在睡夢中,手機在身邊�。是誰遠程偷看了短信驗證碼,還利用短信驗證碼完成了轉(zhuǎn)賬購物借貸等操作?據(jù)了解�����,這是不法分子通過“GSM劫持+短信嗅探”技術(shù)����,實時獲取用戶手機短信內(nèi)容,竊取用戶信息�,盜刷用戶賬戶。
“不法分子先使用偽基站獲取用戶手機號��,再通過網(wǎng)上泄露的數(shù)據(jù)庫���,根據(jù)手機號碼反查用戶的姓名�����、身份證號��、銀行賬號等信息��。然后在某些網(wǎng)站啟動注冊或交易����,并利用和用戶位置相近的特點竊取用戶短信驗證碼�����。”北京大學(xué)信息科學(xué)技術(shù)學(xué)院副教授陳江說�����。
有業(yè)內(nèi)人士形容��,嗅探硬件“小的跟手機差不多���,大得像行李箱����,最低成本只用花一頓必勝客的錢”�。騰訊守護者計劃安全專家周正介紹,目前絕大多數(shù)移動互聯(lián)網(wǎng)服務(wù)都采用以手機號和短信驗證為基礎(chǔ)的識別策略����,但國內(nèi)GSM的語音和短信業(yè)務(wù)鑒權(quán)和加密性偏弱����。犯罪分子使用定制化����、成本低、易攜帶的嗅探系統(tǒng)��,獲取受害人的手機號和短信驗證碼�,進而實施犯罪。
此前已有多地出現(xiàn)“GSM劫持+短信嗅探”盜刷案件����。2017年底至2018年8月,騰訊守護者計劃安全團隊協(xié)助北京���、福建����、廣東等地警方打擊此類犯罪團伙5個��,抓獲犯罪嫌疑人25人。
短信漏洞多
身份可偽裝 內(nèi)容易泄露
注冊新賬號����,需要短信驗證碼;忘記密碼又想登錄網(wǎng)站,需要短信驗證碼;在網(wǎng)上轉(zhuǎn)賬提現(xiàn)��,需要短信驗證碼……當(dāng)前����,使用短信驗證碼驗證用戶身份的技術(shù)���,被廣泛應(yīng)用于各類移動應(yīng)用和網(wǎng)站服務(wù)���。
陳江說:“短信驗證碼雖然方便高效、容易普及使用�����,但存在‘是否用戶本人使用本人手機完成驗證操作’這樣的漏洞�,給不法分子偽裝受害者提供了機會。”
“短信驗證碼是賬號安全的核心��,承擔(dān)著實名認證的任務(wù)����,是保證資金安全的一把密匙�����,但目前的關(guān)注程度還不高����。”中國政法大學(xué)傳播法研究中心副主任朱巍說���。
通過短信驗證碼登錄賬號后����,不法分子可以獲取用戶的快遞地址�、消費記錄、通訊錄等隱私信息����,還可以通過“撞庫”“社工”等方式,“集齊”用戶的姓名���、身份證�����、銀行卡號�,實施資金盜刷、電信詐騙��、敲詐勒索等活動��。
除了被“偷窺”����,泄露短信驗證碼的途徑還有很多。有的用戶點擊了非法鏈接���,手機被安裝監(jiān)聽木馬;有的不法分子偽裝銀行客服,直接索取驗證碼內(nèi)容;還有運營商內(nèi)鬼主動泄露����,里外勾結(jié)。此外���,短信云同步��、自動填寫驗證碼等功能的初衷雖是方便用戶�,卻也可能被不法分子利用�。
安全待升級
改發(fā)送方式 加生物識別
“改變短信設(shè)置�,使用VoLTE技術(shù)(基于4G的語音傳輸技術(shù))�����,改用4G網(wǎng)絡(luò)傳輸短信���。”“關(guān)閉手機蜂窩功能����,改用無線網(wǎng)絡(luò)”“晚上睡覺時關(guān)閉手機或調(diào)整到飛行模式”……為了避免短信驗證碼被“偷窺”�,不少媒體和熱心用戶給出了解決方案。
但是��,這些方案并不能一勞永逸����。比如,就算改用4G傳輸短信����,不法分子也可能在4G網(wǎng)絡(luò)薄弱的地區(qū)“監(jiān)聽”,或用特殊手段把短信“逼”上不夠安全的2G通道����。
全國信息安全標準化技術(shù)委員會建議���,網(wǎng)絡(luò)平臺可以要求用戶主動發(fā)送短信用以驗證身份,使用語音通話傳輸驗證碼����,將用戶常用設(shè)備和賬號綁定,采用指紋識別��、人臉識別等生物特征識別技術(shù)����,同時隨機選擇多種方式進行驗證。
“用戶傳輸敏感隱私信息時��,應(yīng)選擇安全性相對高的通信軟件��,發(fā)現(xiàn)手機信號模式異常時應(yīng)及時更換網(wǎng)絡(luò)環(huán)境�����。網(wǎng)絡(luò)平臺應(yīng)增加多維度動態(tài)驗證機制���,對賬號異常行為進行強校驗,采用生物特征識別技術(shù)����。運營商應(yīng)提高4G網(wǎng)絡(luò)覆蓋率和穩(wěn)定性���,推動VoLTE等高清數(shù)據(jù)傳輸方式的普及。”周正建議�。
“第三方支付機構(gòu)要注意資金安全,發(fā)現(xiàn)異常及時停止服務(wù)���,避免用戶損失��。同時��,第三方支付也要和銀行開展配合�����,形成立體化風(fēng)控體系�。”朱巍說��。
關(guān)鍵詞:
漏洞
風(fēng)險
短信
險大 需要加把安全鎖&url=http://www.bzd888.cn/zixun/shehuiminsheng/2018/0817/11085.html&pic=picture/1121922106_15101037383211n.jpg)
險大 需要加把安全鎖&pics=picture/1121922106_15101037383211n.jpg)
